Man kann mit Sicherheit behaupten, dass Helkern schon lange vor dem 25. Januar aufgetaucht ist, als die Antiviren-Entwickler und die Presse von diesem Ereignis bereichtet haben. Zum ersten Mal wurden Daten-Pakete, welche den Wurm-Kopien ähnelten am 20. Januar 2003 um 20:07 MEZ von Kaspersky Labs entdeckt. Diese Daten wurden von einem Computer abgeschickt, der einem US-amerikanischen Provider gehörte. Doch das bedeutet ganz und gar nicht, dass Helkern von den Mitarbeitern dieses Unternehmens erstellt wurde, sondern höchstwahrscheinlich wurde der Server von entfernten Hackern infiziert. Deshalb kann sich die Wahrheit über die Herkunft des Wurms in den Report-Dateien der Aufrufe dieses Servers verstecken.
Etwas später am selben Tag wurde Helkern in Daten, die von einem Server in den Niederlanden verschickt wurden, entdeckt. Danach wurde der Wurm bis am 23.Januar um 21:21 (MEZ) nicht mehr bemerkt, als noch eine Wurm-Kopie in Daten, die von einem anderen Server in den Niederlanden abgeschickt wurden, entdeckt wurde. Eine plötzliche Hyper-Aktivität entfaltete Helkern erst in der Nacht vom 24. auf den 25. Januar. D.h. die Inkubationszeit dieses Wurms beträgt fast 5 Tage. In dieser Zeit konnte die Malware eine kritische Anzahl Server infizieren, welche dann eine Kettenreaktion hervorrief.
Nach anderen Angaben befand sich das Epizentrum der Epidemie in China, von wo aus der Wurm in Server in Südkorea und in den Philippinen eindrang. Danach erreichte Helkern den westlichen und zentralen Teil der USA und teilte sich in zwei Ströme: Der erste verlief Richtung Australien und Neuseeland, der zweite Richtung Westeuropa.

Die geographische Verbreitung des Wurms sieht folgendermaßen aus:

Wie der Tabelle weiter oben zu entnehmen ist, verbreitete der Wurm sich fast über die ganze Welt. Das belegt wieder einmal die Unzulänglichkeit der Idee einer virenähnlichen Cybernetz-Waffe. Diese hat die Eigenschaften eines Bumerangs, was sie für militärische Ziele unbrauchbar macht.

Bis jetzt (27. Januar) ist die Epidemie praktisch neutralisiert und die normale Funktionsfähigkeit des Internets wiederhergestellt. Im Internet werden noch regelmäßig Kopien von Helkern registriert, doch ihre Anzahl ist um Hunderte Male kleiner als auf dem Gipfel der Aktivität des Wurms. Insgesamt kann ihre Anwesenheit im Internet-Verkehr zu keinen Störungen mehr führen. Für die Neutralisierung des Wurms waren die gemeinsamen Handlungen der Internet-Provider sicher hilfreich, welche eine Filtrierung der schädlichen Pakete Helkerns integriert und der User, welche den Patch für die Schwachstelle im Sicherheitssystem des Microsoft SQL-Servers installiert haben.